证书相关概念及使用openssl生成自认证证书

最新推荐文章于 2023-08-11 09:56:22 发布
最新推荐文章于 2023-08-11 09:56:22 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: 网络编程 文章标签: 证书 openssl 认证
本文为博主原创文章,未经博主允许不得转载。本博客持续更新,欢迎关注。
本文链接:https://blog.csdn.net/CODINGCS/article/details/51816115
版权

1    基本概念

  根证书:根证书负责其他可信任证书的颁发,不同的CA机构具有不同的根证书。通过openssl我们可以自建CA证书(不属于权威机构颁发的,但经常部署证书测试需要用到),用于颁发其他证书(用根证书的私钥对其他证书进行签名,从而保证其他证书的可信性)。

证书认证原理:根证书用自己的私钥签署了服务端的证书,验证时要根证书的公钥解密服务端的证书,从而达到了身份验证。这种方式也叫做数字签名,可验证服务端证书确实是由根证书颁发的。

  证书的信任链:A信任B,B信任C,则A信任C。根证书签发服务端证书后,服务端证书可签发二级证书,则二级证书也认为是可信任的(客户端有服务端的公钥,所以知道这是服务端颁发的证书)。

    单向认证:在身份验证环节,如客户端验证服务端时,服务端发送自己的证书给客户端,然后客户端便可用根证书来识别服务端的证书是否是由根证书颁发的,即验证服务端证书的可信性,从而达到身份验证的目的。认证完成之后,客户端便可以使用服务端的公钥对信息进行加密,然后再发往服务端,从而达到信息保密(这种情况下服务端发往客户端的消息并不保密,因为服务端的公钥是公开的).

    双向认证:在单向认证的前提上再加上了服务端对客户端进行认证,从而保证了通信的双方都是可信的,这时候双方的通信内容都是保密的(只有用己方的私钥才能解密)。

   一般使用中只要单向认证就行了,即客户端与服务端是N对1关系(实际中可能有几个服务端和多个客户端),客户端连接服务端之后,有服务端发送证书给客户端,然后客户端对服务端证书进行验证,来确认服务端身份是否合法。

   双向认证则要求服务端也需要确认客户端的身份,举个例子,如工行的U盾内置了数字证书,这个就是客户端的证书,用于向服务器表明自己的身份有效性。

参考链接:

https://segmentfault.com/a/1190000002568019

p.s.:很好的一个博客:tls系列的包括——SSL/TLS原理详解OpenSSL SSL 数字证书概念贴基于OpenSSL自建CA和颁发SSL证书

2    使用openssl生成证书

1)  生成CA证书

#创建操作目录

mkdir CA

cd CA 

#创建一些子目录和初始文件备用

mkdir certs crl newcerts private

echo "01" > serial

cp /dev/null index.txt

#拷贝openssl.cnf 到当前目录

cp /etc/ssl/openssl.cnf openssl.cnf

#修改相应配置

vi openssl.conf

#将以下内容对应修改

[CA_default ]

dir             = ./demoCA              # Where everything is kept

certs           = $dir/certs            # Where the issued certs are kept

#为

[CA_default ]

dir             = .                     # Where everything is kept

certs           = $dir/certs            # Where the issued certs are kept

#用如下命令生成CA证书:

opensslreq -new -x509 -keyout private/cakey.pem -out cacert.pem -days 365 -configopenssl.cnf

#之后会要求填写信息(如地址,机构,pem pass phrase等信息),填写完后根证书便生成完成了

2)     用根证书颁发证书

    服务器证书和客户端证书的生成过程是一样的,用根证书颁发两份证书,一个作为服务端证书,一个作为客户端证书即可,单向认证的话只需要生成一个证书即可。下面以生成服务端的证书为例说明:

#用如下命令生成服务端证书的私钥pem文件和serverreq.pem

opensslreq -nodes -new -x509 -keyout serverkey.pem -out serverreq.pem -days 365-config openssl.cnf

#之后会要求你填写相应信息,其中Common name 一项表示你的FQDN或者你的IP地址,Email Address 填空即可

#用serverkey.pem 文件加密serverreq.pem 文件,生成待认证的证书文件tmp.pem

opensslx509 -x509toreq -in serverreq.pem -signkey serverkey.pem -out tmp.pem

#用根证书签署(颁发)服务器证书

opensslca -config openssl.cnf -policy policy_anything -out servercert.pem -infilestmp.pem

#之后需要输入CA证书的PEM pass phrase ,便可以生成服务端证书

#删除待颁发的证书tmp.pem

rmtmp.pem

    之后我们查看下目录newcerts,可以看到目录下面多个个证书01.pem,这个证书也就是刚才根证书颁发的服务器证书。

参考链接:

https://www.linux.com/blog/tls-encryption-and-mutual-authentication-using-syslog-ng-open-source-edition

LinuxG_G
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈基于openssl的多级证书,Multi-level CA的签发和管理,以及双向认证
m0_38084180的博客
04-21 3973
最近在研究openssl签发证书,在网上搜索关于openssl的用法、资料等等,总觉得非常分散,而且讲得比较浅,文章虽然不少,但是缺少真正能给你讲的明白得,仅停留在“能用”上,感慨一下,这怎么行,到底是大家也不明白还是秘而不宣呢? 前期建议简单了解下: tls的概念、单向认证和双向认证过程和区别、数字证书、CA机构的角色、openssl 1、你是否需要多层证书? 这里面有两个核心的问题: a、你是否需要双向认证? 我见过的商业案例,客户公网访问某个服务,直接自己签发一个证书,放在服务端,客户ht
【201】openssl生成服务端和客户端证书详解
小麦粒的Python
02-26 5446
内容目录(原文见公众号python宝)一、基本知识点介绍二、openssl生成服务端和客户端证书www.xmmup.com一、基本知识点介绍  要支持https请求,那就需要一个SSL证书...
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。 因为在网络传输的过程中,网络的数据肯定要经过wifi路由器对吧,那么我们通过路由器做些手脚我们就可以拿到数据,因此openssl的作用就是避免信息
OpenSSL X509 Certificate反序列化漏洞(CVE-2015-3825)成因分析
omnispace的博客
10-05 2305
一、序 序列化 (Serialization),是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。使用者可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。Android也有许多场景使用序列化进行数据传递,如App间/内的对象传递、Binder通信的数据传递等等,一般涉及跨进程、跨权限。序列化/反序列也是程序/接口的一个输入,存储
总结之:CentOS6.5下openssl加密解密及CA自签颁发证书详解
李子无为的杂货铺
01-05 7124
前言    openSSL是一款功能强大的加密工具、我们当中许多人已经在使用openSSL、用于创建RSA私钥或证书签名请求、不过、你可知道可以使用openSSL来测试计算机速度?或者还可以用它来对文件或消息进行加密。 正文    openssl是一个开源程序的套件、这个套件有三个部分组成、一是libcryto、这是一个具有通用功能的加密库、里面实现了众多的加密库、二是libssl、
Openssl学习——x509证书函数
qq_41812260的博客
07-23 4006
文章目录1.X509概览1.1简介1.2结构 1.X509概览 1.1简介 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机构(CA)签名(或自签名)。一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息一种非常通用的证书格式,所有的证书都符合X.509 国际
证书(root certificate)是屬於根证书颁发机构(CA)的公钥证书
最新发布
weixin_40191861的博客
08-11 970
在密码学和领域,)是屬於根(CA)的,是在中,的起點。证书颁发机构的角色有如现实世界中的公證行,保證網路世界中電子證書持有人的身份。具體作法是透過,利用數位簽章為多個客戶签发多个不同的,形成一个以其根证书為顶层的樹狀結構,在此传递关系中所有下層證書都会因為根证书可被信赖而继承信任基礎。根證書在中作為信任錨的起點角色根證書沒有上層機構再為其本身作數位簽章,所以都是。许多(例如。
Linux openssl 生成证书的详解
u014644574的博客
01-06 7607
Linux openssl 生成证书的详解 Springboot配置ssl证书
OpenSSL 自签证书详解
云原生运维
12-25 6807
数字证书的基本概念 数字证书的标准 X.509版本号:指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息 序列号:由CA给予每一个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(Certificate Revocation List证书作废表,或证书黑名单表)中。这也是序列号唯一的原因 签名算法标识符:用来指定CA签署证书时所使用的签名算法,常见算法如RSA 签发者信息:颁发证书的实体的 X.500 名称信息。它通常为一个 CA 证书的有效
使用 openssl 生成证书
weixin_34075551的博客
09-17 4446
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立...
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器( OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
PHP中使用OpenSSL生成证书及加密解密
10-20
主要介绍了PHP中使用OpenSSL生成证书及加密解密,需要的朋友可以参考下
使用OpenSSL生成Kubernetes证书的介绍
09-30
今天小编就为大家分享一篇关于使用OpenSSL生成Kubernetes证书的介绍,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
syslog-ng详解——syslog-ng配置语法
热门推荐
专注探索c++,Linux等后台开发相关机制,欢迎关注,欢迎交流
09-16 1万+
在“运行syslog-ng”中我们简单介绍了一个基本配置文件的大概结构,保证syslog-ng能正常运行起来。这边将详细介绍下syslog-ng的日志配置及如何进行高效的配置,先介绍下syslog的一些基本知识: 日志级别及日志设备 syslog-ng和syslog一样,日志级别都有以下8种: 级别越低代表越重要的日志。 设备号有以下几种: 由设备号和日志级别
彻底弄懂EPOLLOUT事件
专注探索c++,Linux等后台开发相关机制,欢迎关注,欢迎交流
03-21 8105
epoll是linux下实现IO multiplex的利器。一般编程实现方式如下: 使用epoll_create创建一个epoll fd 使用epoll_ctl往epoll fd里添加需要监听的fd,并注册需要监听的事件(由于EPOLLLET边缘触发方式更加高效,所以一般都使用边缘触发方式) 使用epoll_wait等待事件,然后依次处理各个事件,反复循环 其最常用的网络事件为EPOLLIN和EPOLLOUT,EPOLLIN对应为有socket缓冲区数据可读(当又收到了对端的一些数据,就会触发;或者作为
syslog-ng详解——安装syslog-ng
专注探索c++,Linux等后台开发相关机制,欢迎关注,欢迎交流
09-12 5413
日志管理模块作为软件系统的一个重要子模块,其记录着系统运行的有关信息。当系统故障时,日志是用于问题定位的必备信息。所以,一个设计良好的日志模块及其重要,在Linux系统上往往用syslog(rsyslogd及klogd程序)来管理系统的日志。本文介绍的syslog-ng是syslog的next generation,具有比syslog更强大的功能和性能,优势在以下几个方面: 兼容syslog的功
网络编程read, write, recv, send函数返回值
专注探索c++,Linux等后台开发相关机制,欢迎关注,欢迎交流
05-22 4739
1.1    read >0 : 正常情况下返回读入的字节数,read 读取数据时有水位控制,当可读数据大于水位时,就返回。 =0 : 当关闭socket连接时且缓冲区中没数据可读时,返回0;当文件操作时,读取到文件尾EOF,也返回0 其man帮助如下: 1.2    write >0 : 正常情况下返回写入的字节数,阻塞的write调用将检测写缓冲区的大小,当写缓冲大于writ
syslog-ng详解——运行syslog-ng
专注探索c++,Linux等后台开发相关机制,欢迎关注,欢迎交流
09-15 4304
安装完syslog-ng后,就是如何使用的问题了。在https://syslog-ng.org 上可以下载syslog-ng的说明文档syslog-ng-ose-guide-admin.pdf,文档中介绍了syslog-ng的用法,很详细。下面介绍下如何使用syslog-ng。 安装目录结构介绍 在syslog-ng安装目录下,文件夹及作用如下:  bin 存放一些用于测试s
windows下使用openssl生成自签名ssl证书
05-26
以下是在Windows上使用OpenSSL生成自签名SSL证书的步骤: 1. 下载和安装OpenSSL。你可以从官方网站 https://www.openssl.org/source/ 或者一些其他的源获取OpenSSL。 2. 打开命令提示符并浏览到OpenSSL安装目录下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值